http://wslabi.com/

[ble34]

Ciekawa strona wogóle
niewiem co otym sądzić

exploity na aplikacje webowe
w cenach od 500 do 1700 euro

[kosiarz]

No już to widziałem i tez się nad tym trochę zastanawiałem i doszedłem do wniosku ze może przyczyni się to w pewnym stopniu do polepszenia bezpieczeństwa w sieci , no ale się zobaczy.


http://hack.pl/forum/thread1699,kupo...ramowaniu.html

[ble34]

oszalałes nic się do tego nieprzyczyni
ja raczei mysle że to bedzie taki targ broni dla
"bandytów" oficjalny czarny rynek

[kosiarz]

Dzięki temu ze ludzie którzy zarywają czas na szukaniu dziur w oprogramowaniu dostana godziwa zapłatę będą zmotywowani do cięższej pracy a co za tym idzie zostanie wykrytych więcej nieścisłości w oprogramowaniu, taki proceder był przecież cały czas uskuteczniany dzięki temu ze będzie robiony bardziej jawnie to także producenci tego oprogramowania w którym zostanie wykryta jakaś luka będą mieli szanse poznania jej jako pierwsi po przez danie odpowiedniej sumy co raczej nie będzie dla nich z byt wielkim problemem, (a nawet może pozwolą im ja odliczyć od podatku).
No jasne ze takie informacje mogą wpaść w „nieodpowiednie ręce” no ale dzieje się to cały czas , a dzięki temu ze producent oprogramowania będzie wiedział chociaż ze w jego sofcie jest jakąś luka będzie bardziej wrażliwy i może dzięki temu szybciej ja wykryje.
Jak dla mnie gościu wpadł na niezły pomyśl i może zbić na tym spora kasę, dając przy tym zarobić innym.

[ble34]

a co praca w czynie społecznym wyszła z mody
nieno ja wiem też jestem za
troche mnie tylko zdziwiło
takie podejście do sprawy
z pewnych pwodów które zachowam dla siebie
lepiei
właściwie to jak zwykle niewiem oco mi chodzi
ale wiesz pogadać zawsze można

[TQM]

Praca spoleczna nie wyszla z mody... ale jak zakladasz rodzine to priorytety sie nieco zmieniaja. Ja nadal robie wiele rzeczy za free bo lubie i lubie pomagac innym, ale... z czegos trzeba rachunki zaplacic.

Pomysl WabiSabiLabi powinien teoretycznie rozwiazac pewien problem... Chodzi o sposob ujawniania dziur. Jesli znajdujesz dziure to masz kilka mozliwosci dzialania:
- nie powiedziec o niej nikomu i miec nadzieje ze nikt nie znajdzie a jak znajdzie to juz jego problem co z tym zrobi (czyli non-disclosure)
- powiadomic vendora (dostawce czy to sprzetu czy softu) i czekac az on to zalatwi (no no... Oracle na niektore dziury potrzebowal 3 lata o ile pamietam z Krakowa...) - malo skuteczne... (nazwijmy to 'private disclosure')
- poinformowac vendora i dac mu np. 3 tygodnie/miesiace (w zaleznosci od wagi problemu) i powiedziec ze po tym czasie zostanie to podane do publicznej wiadomosci - vendor musi sie streszczac jesli nie chce sie obudzic z 'reka w nocniku' (tzw. 'responsible disclosure')
- opublikowac swoje znalezisko od razu w sieci... i niech vendor dowie sie z sieci - ogromna motywacja aby naprawic bledy zanim ktorys klient na tym ucierpi... (tzw. 'full disclosure')

W kazdym powyzszym przypadku osoba ktora znalazla luke nie mogla liczyc na zadne wynagrodzenie za czas jaki posiwecila na znalezienie i udokumentowanie luki (czesto poprzedzone solidnymi badaniami). Byc moze niektorzy dostali 'podziekowanie' od firmy w jakiejs tam postaci, jednak generalnie jakos glosno o takich przypadkach nie bylo jesli w ogole ktos o tym glosno mowil. Generalnie jednak jakos nikt sie nie martwi wynagrodzeniem dla tych ludzi.

Stad tez pomysl WabiSabiLabi - aukcja gdzie mozna sprzedawac legalnie exploity i infomacje o podatnosciach. W ten sposob odbiorca nie jest koniecznie jeden - moze byc wielu - spora nagroda finansowa dla autora znaleziska!!! Poza tym vendor ma juz spore parcie aby sie dowiedziec o co chodzi i to zalatac, wiec pewnie kupi informacje. W ten sposob jest on jednym i miejmy nadzieje jedynym klientem aukcji w wielu przypadkach (WabiSabiLabi mowi ze bedzie sprawdzac klientow aby nie sprzedac informacji niepowolanym osobom ale nie podaje jak to bedzie robic)...

Mechanizm rynkowy wprowadza wiec naturalny balans... poza tym aukcja jak aukcja... albo wystawiam nieskonczona ilosc kopii albo jedna, ktora sprzedaje na wylacznosc i w ten sposob podnosze cene.

Jak dla mnie to MA SENS... a czy zadziala? Pozyjemy, zobaczymy...